Firewall, restrições de acesso e redirecionamentos

O DD-WRT oferece um firewall bastante robusto, o SPI, que pode ser ativado na “Security > Firewall”, juntamente com as opções para bloquear ActiveX, Java ou o uso de proxys por parte dos clientes da rede e de pings e outras requisições por parte de hosts da Internet.

Outras restrições de acesso podem ser definidas na “Access Restrictions > WAN Access”, onde você pode criar regras de acesso sofisticadas com base no horário, endereços IPs e URLs, bem como bloquear o acesso a determinados protocolos e serviços, juntamente com uma opção bastante interessante, que permite bloquear todos (ou pelo menos a grande maioria) dos protocolos P2P, permitindo bloqueá-los em definitivo ou em determinados horários para evitar o congestionamento da rede:

Previsivelmente, a seção “NAT/QoS” concentra as opções relacionadas ao encaminhamento de portas ou faixas de portas, DMZ e QoS, bem como UPnP. A configuração do Port Forwarding é bem similar ao que temos nos sistemas comerciais, bastando indicar a porta de início e fim da faixa (para encaminhar uma única porta basta repetir o mesmo número), o protocolo (TCP, UDP ou ambos) e o host da rede local que receberá as requisições:

A opção Port Triggering permite criar redirecionamentos dinâmicos, baseados em portas de saída. Por exemplo, quando um cliente ICQ precisa transferir arquivos, ele envia uma requisição na porta 5190 (saída) e espera receber uma requisição do servidor remoto em uma porta na faixa 4117 a 4443. Para que as transferências funcionem, você criaria uma regra com as porta “5190” nas duas opções da “Triggered Port Range” (já que trata-se de uma única porta, e não de uma faixa) e as portas “4117” e “4443” na “Forwarded Port Range”. Com isso, sempre que um cliente envia requisições na porta 5190, ele recebe o encaminhamento das portas necessárias automaticamente, sendo que o encaminhamento é alterado dinamicamente para apontar sempre para o último cliente. Isso permite que diferentes clientes da rede compartilhem as portas usadas pelo recurso sem que você precise criar regras separadas para cada um.

Hoje em dia, poucos aplicativos ainda utilizam o Port Triggering, pois a maioria migrou para o uso do UPnP ou o uso de outros métodos de transferência que não dependem do encaminhamento de portas. De qualquer forma, o Port Triggering ainda poe ser útil em muitas situações.

Uma observação é que as regras criadas por aplicativos UPnP podem subscrever os encaminhamentos estáticos, por isso se algum encaminhamento importante passar a funcionar de forma errática, a primeira coisa a se testar é desativar o UPnP.